Quale cookie dovrebbe avere il tag Http-only [closed]

0

Sto controllando il tag http-only di alcune pagine web e ho un dubbio quando sto cercando di verificare. Ad esempio nell'immagine seguente:

Ci sono alcuni cookie con il flag http-only attivo ma non so se questi cookie contengono token o informazioni importanti. Come posso saperlo? Grazie.

    
posta elvaqueroloconivel1 28.08.2018 - 14:27
fonte

1 risposta

2

Di solito non sai cosa c'è nel cookie, dato che le sue informazioni devono essere utilizzate solo dal server. Alcuni server crittografano il cookie per proteggerne il contenuto e impedire all'utente di modificarlo.

Ora, per il HttpOnly flag.

Era qualcosa "inventato" da Microsoft su IE6 . È un per il browser con intestazione aggiuntiva per non consentire agli script sul lato client di accedere al cookie. Se il flag non è impostato, document.cookies restituirà il suo contenuto e un exploit XSS può compromettere i cookie dell'utente. Con il flag impostato, il browser non consentirà agli script sul lato client di leggere il suo contenuto e invierà solo il suo contenuto al server web.

Se i dati dei cookie sono utili per il client (come la lingua, o le preferenze di ordinamento o qualsiasi preferenza lato client), non impostare HttpOnly flag. Se i dati vengono utilizzati solo sul lato server (come PHPSESSID , ASPSESSION o qualsiasi cosa che il lato client non utilizza), imposta HttpOnly e rende più difficile un exploit XSS per rubare i cookie.

    
risposta data 28.08.2018 - 14:36
fonte

Leggi altre domande sui tag